Por que os vazamentos de dados estão se multiplicando?

Cada vez mais surgem notícias sobre vazamento de dados pessoais e empresariais de usuários de redes sociais, instituições privadas e públicas. A grande maioria das divulgações é assinada por pessoas, que se escondem atrás de apelidos, ou de grupos. As motivações para essas ações variam. Podem ir do simples prazer pessoal em demonstrar – e se vangloriar – publicamente de que existe uma falha de segurança, até uma razão política e/ou comercial.

Mas, onde as empresas estão falhando na proteção de seus dados? Durante muito tempo, os executivos usaram “chavões” do tipo: “isso é coisa de cinema”, “nunca acontecerá comigo”, “não tenho nada de importante “, etc … No entanto, o mercado mudou, e hoje qualquer dado tem valor comercial. A tecnologia está cada vez mais enraizada nas empresas, independentemente do tipo de mercado ou atividade fim.

Não investir na área de tecnologia de segurança está-se mostrando, cada vez mais, uma decisão errônea. Independentemente da atividade-fim, as empresas precisam proteger os seus dados e o de seus clientes, ou o dano à imagem da empresa, entre outros, poderá ser muito maior do que o investimento em segurança necessário. Nunca é demais lembrar que a nova Lei Geral de Proteção de Dados do Brasil (LGPD – Lei 13.709/2018 / MP Nº 869), que entrará em vigor em agosto de 2020, vai causar um grande impacto ao trazer muito mais rigor para a forma como empresas privadas e órgãos do governo lidam com as informações privadas das pessoas, sejam elas endereços, números de documentos, registros, renda, de caráter profissional, entre outras.

A culpa do crescimento de vazamentos não é, no entanto, estritamente dos executivos. Os profissionais técnicos têm grande parcela de responsabilidade pois em sua grande maioria não sabem argumentar e mostrar o problema – e suas soluções – de forma didática para os gestores da empresa. Outros problemas são a falta de investimento; sistemas mal desenvolvidos (independentemente se comprados de uma agência, empresa de e-comerce, ou desenvolvido internamente); profissionais desenvolvedores mal treinados tanto em desenvolvimento como em segurança da informação e a falta de critérios relacionados à segurança para o desenvolvimento e a aquisição de sistemas informatizados.

Ações necessárias

Pela característica dos ataques, um número muito maior de dados pode ter vazado do que tem aparecido no noticiário. Eu acredito que parte do material está sendo arquivado para futura negociação – leia-se chantagens – pois no ano que vem começa a vigorar a Lei Geral de Proteção de Dados (LGPD), que prevê multas a quem não tratar com segurança dados de terceiros.

Há várias ações, no entanto, que podem – e devem ser tomadas – para que as empresas defendam seus bancos de informações e preservem seus usuários e clientes. Basicamente, é preciso assumir que necessitam de ajuda na área, contratando profissionais especializados em segurança da informação / cibernética. Esses experts farão a revisão de código, em aplicações expostas na internet; vão sugerir e orientar a implementação de camadas de proteção, como um firewall de aplicação, e atividades de scans de vulnerabilidade e testes de invasão.

Por Fernando Amatte, diretor de Ciberinteligência da Cipher